1.审核人员不要以为不是gov.cn就不是政府网站,很多人事网都不是gov.cn结尾的
2.这个系统注册和登录是需要身份证跟姓名的(影响有多大你们懂的!!)
3.一般人事网涉及到很多公务员的信息,建议交给cnvd处理,你等着厂商来确认?他会来确认吗?公布之后被坏人利用是谁的错?
4.上面说的都是废话,弱弱的问句这个洞能上前台了吧?
5.这个洞是我看 WooYun: 扬州市人事考试网分站一处sql注入(sa权限可拿webshell且发现木马) 这里发现的,也是我发的一个洞。
6.具体的注入点很多,下文只拿一处做演示
=========================邪恶分割线===============================